トレンド把握に必携! セキュリティ調査レポート「GISS」で情報セキュリティ対策の世界潮流をつかめ!

今や企業にとって重要な経営課題となった情報セキュリティ対策。ほかの企業がどのような状況なのか、気にならないだろうか? 1時間足らずのアンケートに答えるだけで、名だたる企業のCIOやCISO、ITスタッフなどの回答と比較でき、コンサルタントによるアドバイスももらえる――そんな調査レポート「GISS」をご存じだろうか?

» 2017年07月18日 10時00分 公開
[PR/ITmedia]
PR
photo EYが毎年発行する年次レポート「グローバル情報セキュリティサーベイ(GISS)」

 サイバー攻撃が年を追うごとに巧妙さを増す中、万一の際に企業が被る被害も、深刻さを増す一方だ。そのことは、2017年に入ってから猛威をふるったランサムウェア「WannaCry」や「NotPetya」のケースからも明らかだ。いずれのケースも影響は世界各国に及び、官民を問わずさまざまな組織や企業が、業務停止などの混乱に見舞われ、日本国内でも大手製造業において、製造ラインが操業停止に直面したと報じられた。「社外に口外していないが、実は被害を受けた」という企業も少なくないと考えられている。

 サイバー攻撃の被害は売上や利益の減少に直結するのみならず、信用の失墜や機密情報の流出による競争力低下なども招きかねない。こうした背景から、情報セキュリティ対策は今や企業の責務と認知されるまでになったが、それでも被害は止まらない。こうした状況下で、果たして企業はどう情報セキュリティの高度化に取り組むべきなのだろうか。

 このヒントを得る上で、極めて有益なレポートがある。企業の情報セキュリティの成熟度を測る目的で、会計、税務、アドバイザリーなどのプロフェッショナル・サービスを手掛けるEYが毎年発行する年次レポート「グローバル情報セキュリティサーベイ(GISS)」だ。

約20年の歴史を持つセキュリティ調査レポート「GISS」

photo EYアドバイザリー・アンド・コンサルティング シニアマネージャー 森島直人氏

 EYは、ロンドンに本拠地を置き、世界150カ国、約700都市に展開するグローバルネットワークで、世界4大会計事務所の一角を占めるプロフェッショナルファームである。その歴史は古く、150年以上も前の1849年に設立された会計事務所を源流としている。

 ファームの歴史と同じく、GISSの歴史も古い。まだセキュリティという概念が広く認知されていなかった1998年に始まり、2017年でちょうど20年を迎える。GISSの目的は、情報セキュリティに関する組織的取り組みに関する回答を分析し、集計時点でのセキュリティトレンドや今後の共通課題を明示することにある。その特徴について、EYの日本におけるメンバーファームであるEYアドバイザリー・アンド・コンサルティングでサイバーセキュリティ分野のシニアマネージャーを務める森島直人氏は、次のように話す。

 「GISSはその時々の傾向を踏まえて質問を入れ替えつつ、一貫して情報セキュリティのトレンド把握に力を入れてきました。企業が採るべきセキュリティ対策は企業によって異なります。しかし、GISSを活用することで、グローバルのトレンド、我が国のトレンド、そして所属する業界のトレンドから自社の立ち位置を客観的に見直すことができます。さらに、それぞれのトレンドの差から課題を把握しやすいという点で、GISSから多くの企業で活用が見込める最新動向を読み解くことができるのです」(森島氏)

photo GISSによると、企業が優先して取り組む課題として「事業継続」が「情報漏えい・紛失防止」と同じく最上位に挙げられている(出典:GISS 2016年版)

 2017年3月に発表したGISSの最新版では、世界を代表する大手グローバル企業1735社がアンケート調査に参加。その調査結果を基に、現在のトレンドを示すキーワードとして提示されたのが「サイバーレジリエンス(Resilience=復元力)」だ。

 これは、情報セキュリティ対策の一連のプロセス――脅威を予見し、発見する「Sense(察知)」と攻撃を食い止める「Resist(阻止)」、そして、突破された場合の危機管理体制の構築に向けた「React(対応)」――のうち、特にReactへの対応が遅れていることを意味する。実際に「投資の実現具合」や「取締役会・経営層の関与」など、対応度を測る全ての項目において、他の項目よりも低かったのだ。特に日本企業でこの傾向は顕著だという。

 とはいえ、企業がBCPの重要性を認識していないというわけではない。企業が優先して取り組む各種対策を見ると、「事業継続」が「情報漏えい・紛失防止」と同じく最上位に挙げられている。そこから浮かび上がるのは、リスクの阻止までは注力しているものの、被害後は“お手上げ状態”という対応のいびつさだ。

 なぜ、そのようなことになっているのだろうか。森島氏と同じく、同社でサイバーセキュリティ分野を担当する樺山和弘氏は、「現場での技術的対策は一定以上の水準にありますが、組織的な運用の視点が欠如していることが問題です。その主な原因は、いずれの国でも“経営層と現場のコミュニケーション不全による意識の乖離”で共通しています。特に日本企業では、組織的な対応の未熟さが顕著に出ているのです」と警鐘を鳴らす。

組織的な対応力に欠ける日本企業

photo EYアドバイザリー・アンド・コンサルティング マネージャー 樺山和弘氏

 これは、日本のITガバナンスにおける組織構造からも明らかだという。自社における「情報セキュリティに直接責任を負う担当者」を尋ねた質問では、グローバルでは42%がCISOを挙げたが、日本ではその割合は30%にとどまり、CIOが兼任しているという回答が55%を占めた。また、情報セキュリティ責任者がボードメンバーに含まれているかに関しては、グローバルでは「含まれる」が25%にとどまったのに対し、日本では50%にも達している。

 「CIOは本来、IT戦略を推進する立場にあり、セキュリティ対策を監督するCISOとは役割が異なります。そのため、CIOが情報セキュリティ責任者を兼任していると、客観的な対策の検証が難しくなりますし、彼らがボードメンバーに含まる場合には、予算や体制に対する経営層へのけん制機能も十分に働かなくなり、組織的に機能不全に陥りやすいのです」(森島氏)

 一方で、組織的なセキュリティ対策と一言で言っても、実践の道のりは決して平たんではない。企業活動における情報の流れや保有方法は、業種や業態によって千差万別。つまり、ベストプラクティスがない状況で、自社に合った体制や対策を模索しながら構築するしか手がないのが実情だ。

 しかも、「セキュリティ対策は利益を生まない点で、企業にとって成長するための投資ではなく、セキュリティリスクを抑えるためのコストにほかなりません」(樺山氏)。必然的に経営層の予算配分における判断は厳しく、「過去1年で予算が増えた」企業は、情報セキュリティのリスクが声高に叫ばれながらも全体で53%にとどまる。これでは、予算不足で対策が進まないという悪循環に陥る可能性も高いのだ。

 このように、GISSには情報セキュリティの現状に関する“気付き”のヒントが豊富に掲載されている。

調査だけでなく、最上流からのサービスで企業を包括的に支援

 EYアドバイザリー・アンド・コンサルティングでは現在、2017年版のGISS制作に向けたアンケート調査の参加企業を募集している。

 参加資格は、調査会社やコンサルティングファーム以外で情報セキュリティに関わっている担当者。企業の業種、業態や規模などは問わない。アンケートは全て選択方式の質問で、「1時間もあれば回答を終えられる」(樺山氏)という。

 調査への参加企業に、特典として自社の属する業種や、国別の詳細な比較分析レポートが無償提供される点も見逃せない。前述した日本企業のITガバナンスに関する調査結果も、比較分析レポートからの引用だ。自社が行っている対策の定点観測のために、調査に毎年参加する企業もいるという。

 「報告書の提出にあたっては、企業の文化や担当者の職責に応じて、私たちが内容を説明に伺います。経営層への説得や、自社の立ち位置を踏まえたセキュリティ対策の見直しなど、フィードバックはさまざまな目的で活用されており、参加者からも分かりやすいと好評です」(森島氏)

photo 参加企業に特典として提供される「回答結果に関する比較分析報告書」

 フィードバックを基にセキュリティ対策をするならば、ガバナンスからマネジメント、コントロール、ITツールの導入支援、インシデント対応までの包括的なサービス提供力を武器とするEYアドバイザリー・アンド・コンサルティングは、企業にとって心強い右腕となるだろう。

 「セキュリティ対策は組織全体の取り組みであり、弊社であれば、上流から下流までの施策を一貫して支援できます。EYグループは150カ国23万人でのプロフェッショナル・サービスの提供を通じ、CEOなどとの広範なつながりを築き、彼らの考えに対する深い理解も兼ね備えています。かつ、知見集約力が鍵を握る情報セキュリティ対策において、グローバルネットワークが非常に強固なことも大きな財産でしょう」(樺山氏)

 アンケート調査の参加を通じて、いわば“事前調査”は実施済み。円滑に対応に取り掛かれることもメリットだ。EYアドバイザリー・アンド・コンサルティングは事前調査で明らかになった課題に応じたサービスを提案しているが、その中で経営層向けの対策立案トレーニングも提供している。セキュリティ被害の発生を想定し、限られた社内リソースを各種対応にどう割り振るかをゲーム形式で体験学習してもらうもの。情報のエスカレーションや、被害が生じる過程などを体験できる。

 セキュリティツールの運用プロセスの確立や、現場を対象にした経営層向けレポート業務の支援など、各種課題に対応したサービスも網羅的に用意。それらの提供でも実績を豊富に重ねている。

 1時間足らずで調査ができ、コンサルタントによるアドバイスももらえる――。あなたの会社も一度GISSに参加してみてはいかがだろうか。セキュリティ課題の洗い出しから対応の支援まで、EYアドバイザリー・アンド・コンサルティングが心強い“参謀”になってくれるはずだ。

グローバル情報セキュリティサーベイ(GISS)参加問い合わせ先

EYアドバイザリー・アンド・コンサルティング

サイバーセキュリティチーム GISS担当

電話番号:03-3503-2537

メールアドレス:eyacc.cs.info@jp.ey.com

参加資格:組織におけるCIO、CISO、CSOなどの責任者および情報セキュリティに関する担当者

※調査会社やコンサルティングファームからのお申し込みはお断りさせていただきます。

応募締め切り:2017年8月10日(木)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:EYアドバイザリー・アンド・コンサルティング株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2017年8月17日

グローバル情報セキュリティサーベイ(GISS)

EYアドバイザリー・アンド・コンサルティング